Neu Wawi Sicherheitslücke geschlossen? Details?

Michael Spaltmann

Moderator
Mitarbeiter
2. November 2010
669
145
Hi,

wie recent.digital schon geschrieben hat, möchte ich nur sehr ungerne öffentlich breittreten um welche Library es sich im Detail handelt - das würde einem potenziellem Angreifer die Arbeit erheblich erleichtern. Ich bitte hier um Euer Verständnis.

Ich habe absolutes Verständnis wenn man nicht jedes unserer Releases mitnimmt - gerade bei vielen Clients. Warum updaten wenn das System doch macht was es soll? Auch Hotfixes die evtl. Module betreffen, die man selbst nicht nutzt kann man sich ggf. sparen und nimmt dann halt das nächste Release mit, wo wirklich Funktionen oder Fixes drin sind die man braucht.

Bei Security Hotfixes empfehle ich allerdings allen Usern ein zeitnahes Update. Solche sicherheitsrelevanten Hotfixes releasen wir ja meiner Meinung nach recht selten, so dass das auch bei größerem Aufwand wenigstens selten passiert.

Edit: Um die Frage "Lohnt sich das?" zu beantworten: Securityupdates lohnen sich nie - bis sie sich gelohnt hätten.

Viele Grüße Michael
 

Verkäuferlein

Sehr aktives Mitglied
29. April 2012
2.568
1.035
Bei Security Hotfixes empfehle ich allerdings allen Usern ein zeitnahes Update. Solche sicherheitsrelevanten Hotfixes releasen wir ja meiner Meinung nach recht selten, so dass das auch bei größerem Aufwand wenigstens selten passiert.

Nur um mal eine ungefähre Einschätzung der Brisanz zu haben und es auch für den Otto-Normal-Nutzer verständlicher zu machen, wie drigend ein Update möglicherweise ist:

In welchem Szenario ließe sich denn diese Sicherheitslücke der Library überhaupt ausnutzen?
Nur bei direktem (Schreib-)Zugriff auf die lokalen Rechner bzw. das lokale Netzwerk, sobald der Rechner am Internet hängt oder nur bei speziellen Konstellationen?

P.s.: Vielleicht sollte man den Thread auch besser in den nicht öffentlichen Bereich verschieben.
 
  • Gefällt mir
Reaktionen: John

Shop-Schmied

Sehr aktives Mitglied
4. Februar 2014
395
77
Ich werde nicht ganz schlau aus dem Issue Tracker. Welche WAWI-Versionen waren denn davon betroffen und sollten daher ein Update erhalten? Dort sind ja nur sog. "Zielversionen" zu finden ... was bedeutet das?
 

JohnFrea

Sehr aktives Mitglied
21. September 2017
840
268
Was ist eigentlich mit 1.5 und 1.6?
Nicht betroffen oder nicht gepatched weil abgekündigt? Ist 1.6 überhaupt abgekündigt?
 

recent.digital

Offizieller Servicepartner
SPBanner
8. Juli 2015
1.992
676
Wuppertal
In Zukunft, ab 1.9. werden die letzten beiden Stable unterstütze.

Das würde dann 1.8 und 1.9 bedeuten - alle anderen wären abgekündigt.

Ich hab jetzt nicht explizit nachgeschaut, daher ohne Gewähr.
 

Michael Spaltmann

Moderator
Mitarbeiter
2. November 2010
669
145
Hi,

die 1.5 ist nicht betroffen, aber die Version ist natürlich trotzdem recht out-of-date. Die Versionen für die wir diesen Hotfix released haben (1.7, 1.8, 1.9) sind betroffen. Wie oben schon erwähnt, kann ich Euch nicht sagen in welchen Szenarien der Fix relevant ist, dann könnte ich direkt eine Anleitung zum Exploit hier rein posten. Ich bitte hier nochmal um Euer Verständnis.

Viele Grüße Michael
 
  • Gefällt mir
Reaktionen: Shop-Schmied

Shop-Schmied

Sehr aktives Mitglied
4. Februar 2014
395
77
Hi,

die 1.5 ist nicht betroffen, aber die Version ist natürlich trotzdem recht out-of-date. Die Versionen für die wir diesen Hotfix released haben (1.7, 1.8, 1.9) sind betroffen. Wie oben schon erwähnt, kann ich Euch nicht sagen in welchen Szenarien der Fix relevant ist, dann könnte ich direkt eine Anleitung zum Exploit hier rein posten. Ich bitte hier nochmal um Euer Verständnis.

Viele Grüße Michael
Diese Information jetzt genügt ja, um eine informierte Entscheidung zu treffen.
 
Ähnliche Themen
Titel Forum Antworten Datum
Neu Wawi 1.9.5.4, Ameise Preise glätten für Ebay Vorlagen und laufende Angebote?? User helfen Usern - Fragen zu JTL-Wawi 0
Neu Keine Verbindung WaWi zu POS - Errod connect timed out JTL-POS - Fehler und Bugs 0
Neu Verwaltet Greyhound mit WaWi 1.9 auch die Lieferanten, oder nur Kunden? User helfen Usern - Fragen zu JTL-Wawi 0
Neu WAWI 1.9.6.5 Ameise freier Export von Rechnungen exportiert anstatt Oktober den Monat Dezember JTL-Ameise - Fehler und Bugs 12
Wawi Fehler beim Upload 1.9 JTL-Wawi 1.9 1
Neu Wawi und Shop vorerst vom anderen Rechner Installation von JTL-Wawi 1
Neu Wawi Statistik Versanddienstleister so nicht nutzbar JTL-Wawi - Ideen, Lob und Kritik 0
Neu XAMPP, JTL Wawi -> Artikel werden nicht im Shop angezeigt. Allgemeine Fragen zu JTL-Shop 1
Neu Zwei Wawi Dropshipping und Warenbestand Übertragung User helfen Usern - Fragen zu JTL-Wawi 4
Neu Was passiert wenn ich Amazon Aufträge, Lieferscheine und Rechnungen per SQL aus der WAWI-Datenbank lösche? User helfen Usern - Fragen zu JTL-Wawi 0
Neu Suchen Freelancer für Support JTL wawi und shop sowie Anbindung an die Markplätze Dienstleistung, Jobs und Ähnliches 1
Neu Update auf Wawi 1.9 - kein Zugriff mehr auf Produktionsmodul JTL-Plan&Produce - Fehler und Bugs 1
Neu Besten Hosting-Anbieter für Wawi und JTL-Shop Starten mit JTL: Projektabwicklung & Migration 6
Wawi Webshop Verknüpfung - JTL Worker, Bestelleingang bestätigen lassen JTL-Wawi 1.9 0
Unterstützung Update JTL Wawi JTL-Wawi 1.9 2
Neu Wawi verbindet sich nicht POS-Kassen User helfen Usern - Fragen zu JTL-Wawi 2
Neu DHL Retourenlabel Fehlermeldung in jtl wawi JTL-ShippingLabels - Fehler und Bugs 0
Neu Emails senden aus der Wawi an Bestellungen via Gastkonto (JTL Wawi 1.5.55.5 / JTL Shop 4.05) Druck-/ E-Mail-/ Exportvorlagen in JTL-Wawi 1
Neu update Jtl Wawi User helfen Usern - Fragen zu JTL-Wawi 4
Neu GPSR Zuordnung in der Ameise Wawi Version 1.5 Probleme Funktionsattribut ID User helfen Usern - Fragen zu JTL-Wawi 3
Neu Berichte / Standard Analysen in der WaWi User helfen Usern - Fragen zu JTL-Wawi 0
Neu JTL POS gibt Bestände nicht an Wawi User helfen Usern - Fragen zu JTL-Wawi 0
In Diskussion Aufträge über WaWi App als bezahlt markieren JTL-Workflows - Ideen, Lob und Kritik 2
Änderung der Lieferadresse einer Verkaufsbestellung über die JTL-Wawi API JTL-Wawi 1.9 0
Probleme mit dem Abgleich von Amazon seit Update auf JTL-Wawi 1.964 JTL-Wawi 1.9 0
Neu JTL POS - mehrere Filialen - je Filiale eine Kasse im Dashboard in Wawi wird aber alles zusammen gefasst Allgemeine Fragen zu JTL-POS 1
Neu Änderung der Lieferadresse einer Verkaufsbestellung über die JTL-Wawi API User helfen Usern - Fragen zu JTL-Wawi 0
JTL Wawi Kunden Kommentar hinzufügen, der auch im JTL Pos erscheint. JTL-Wawi 1.9 0
Neu Lieferantenbestellung über Wawi via XML importieren Arbeitsabläufe in JTL-Wawi 0
WaWi 1.9.6.5 kann Auftragsnummern nicht richtig sortieren JTL-Wawi 1.9 4
Neu Lager Ampel Text Attribut ampel_text_gruen mit Shop 5.34 und Wawi 1.8.12.2 funktioniert nicht JTL-Wawi - Fehler und Bugs 1
Jtl Wawi 1.9.6.5 JTL-Wawi 1.9 13
Neu Bestellung nich in WAWI zeigt Onlineshop-Anbindung 3
Otto-Anbindung über JTL Wawi und Produkt-Upload JTL-Wawi 1.9 0
Neu Lagerort in Österreich, Versand in Österreich, Produktion in Deutschland, Vorgehensweise in Wawi User helfen Usern - Fragen zu JTL-Wawi 1
Neu Dropshipping Einstellungen in Wawi mit Händler, aber Versand geht von uns aus???? User helfen Usern - Fragen zu JTL-Wawi 4
Ebay JTL-Wawi "Hersteller" + "Verantwortliche Person" auf mehrere Artikel übertragen GPSR JTL-Wawi 1.9 7
Neu Umzug von SQL 2016 Express auf SQL 2019 Standard mit Wawi 1.8.12.2 Installation von JTL-Wawi 10
Neu WAWI 1.9.6.5 stornierte VCS Bestellung wird in der Wawi noch unter auszuliefernde Aufträge gelistet. eBay-Anbindung - Fehler und Bugs 0
Neu Kann man in JTL-Wawi die Versandkosten basierend auf der Entfernung automatisch berechnen? JTL-ShippingLabels - Fehler und Bugs 1
Neu XRechnung für WAWI 1.5 Smalltalk 28
Neu Effizientere Lösung für Wawi-Updates gesucht Installation von JTL-Wawi 52
Sollte man jetzt auf die Wawi 1.9.6.5 updaten? JTL-Wawi 1.9 33
Versandklassen von Amazon in die WaWi übertragen JTL-Wawi 1.9 3
Neu Artikel werden als online in der WAWI angezeigt sind es aber nicht! Shopware-Connector 0
Neu JTL-Wawi 1.9.6.5 - GPSR: Bei Amazon wird kein Bild in die GPSR-Informationen hochgeladen, wo muss dies angegeben werden? Amazon-Anbindung - Fehler und Bugs 0
Neu JTL-Wawi 1.9.6.5 - GPSR: Bei Amazon wird der Hersteller falsch gefüllt und die Verantwortliche Person ist LEER - eBay/JTL-Shop sind korrekt Amazon-Anbindung - Fehler und Bugs 23
Fehlende Mandantenauswahl nach der Aktualisierung zu JTL-Wawi 1.9.6.4. JTL-Wawi 1.9 3
Neu FBA-Bestand von Stücklisten in der WaWi nicht in den Komponenten sichtbar JTL-Wawi - Fehler und Bugs 3
Neu Schriftgröße in der WAWI auf einmal größer JTL-Wawi - Fehler und Bugs 3

Ähnliche Themen